Эксперт нашел в популярном скрипте для CMS дыру, о которой давно знают хакеры

altИспользуемый на Джумле, Вордпрессе и множестве других движков популярный скрипт jQuery File Upload – 5 лет с дырой, о которой минимум 3 года знают хакеры.

jQuery File Upload – весьма популярный скрипт. С его помощью можно загружать видео и фото, несколько файлов одновременно, пользоваться функцией drag-and-drop. Тем опаснее обнаруженная в нём IT-специалистом по безопасности Ларри Кэшдолларом уязвимость. Она позволяет загрузжать на сервера бэкдоры, веб-оболочки, запускающие посторонние программы и прочее в том же духе.

Скрипт используется во многих проектах, CMS-платформах, расширениях. Кэшдоллар только на GitHub обнаружил почти 8 тысяч сервисов с этим плагином в оригинальном или изменённом варианте. Брешь в скрипте существует уже 8 лет и минимум 3 года активно используется кибермошенниками. Разработчики отключили в Apache Web Server 2.3.9 поддержку правил из файла, в котором хранятся разрешения на загрузку объектов. Позднее разработчик Себастьян Чан устранил проблему, обновив скрипт, а версии, предшествующие обновлению, остались уязвимы. Кэшдоллар сказал, что на данный момент не одна тысяча проектов всё еще содержат в себе эту ошибку. Лишь в 36 случаях она не была обнаружена. Для исправления бага нужно обновить плагин на всех ресурсах, использующих его. А это во всех смыслах затратно.

Обновлено 31.10.2018 10:07